1. Куча / Говнокод #24575

    0

    1. 1
    https://habr.com/post/419141/

    Запостил: LinuxGovno, 03 Августа 2018

    Комментарии (130) RSS

    • Нет ничего нового под луной: вирус-вымогатель прописывался в userinit перед explorer, и выводил сообщение: "Вы оштрафованы за просмотр детской порнографии, штраф $500. Пожалуйста, переведите их на такой-то номер."

      Пользователь, разумеется, стеснялся обращаться с таким сообщением к компьютерщикам и исправно платил.

      зы: такая серия была в Черном Зеркале, кстати

      А что касается утекания паролей, так ведь давно известно что за хранение пароля в плейнтексте нужно ампутировать руки программисту до самых ягодиц.
      Ответить
      • > за хранение пароля в плейнтексте
        Ну не базу сопрут, так js юзерам заинжектят. Пока юзер вводит пароли на сайте плейнтекстом -- их пиздили и будут пиздить.
        Ответить
        • >>так js юзерам заинжектят.
          Если ты про XSS, то см. про ягодицы.
          Если же им инжектят его в браузер, то возможно стоит подумать об антивирусе.

          И еще: за сайты без SSO тоже лучше что-нибудь отрубать: не руки, так хоть пальцы. У каждого хомячка есть ВК или FB, так нахрена ему еще в 143-х сайтах вводить один и тот же пароль?

          С другой стороны не каждый рискнет логиниться под ВК аккаунтом на какой-нить там порнхаб, есть же шанс потом что кто-нить всем расскажет потом что ему нравится
          Ответить
          • Я про инжект со стороны слегка взломанного сервера.

            > логиниться под ВК аккаунтом
            Боже упаси... Я предлагал какое-нибудь банальное SRP и окошко, которое невозможно сэмулировать средствами HTML. Тогда можно было бы юзать один пароль на все сайты, который никогда дальше твоего браузера не уйдёт... Но всем похуй, как обычно.
            Ответить
            • >>Я про инжект со стороны сервера.
              Ну то-есть всё таки про XSS? Про то, что хакер может вывести случайный JS у случайного клиента?
              Ты понимаешь что это пиздец полный, когда программист такое разрешает?

              >>SRP и окошко, которое невозможно сэмулировать средствами HTML
              Типа HTTP Auth?

              ps: так SRP же и есть практически SSO: токен, то-сё.

              У MS с их AD/Kerberos и NTLM в IE была такая штука еще 20 лет назад.
              Винда рулит
              Ответить
              • > Типа HTTP Auth?
                Ага. В общем-то можно через него и гонять SRP.
                Ответить
                • Щас придел "HighVoltageCock" и скажет, что "POST" + "PHPSESSID" + "md5(пароль)" и идите нахуй.
                  Ответить
              • > практически SSO
                SSO в вебе -- это же вообще мечта. Социалочки знают, на каких сайтах ты регаешься. Сайты знают твой профиль в социалочке. Все довольны. А в случае с SRP сервак о тебе знает ровно одну вещь -- ты владеешь тем же паролем, что и тот, кто изначально регался.

                > kerberos
                Без центрального доверенного сервака не работает же. Впрочем, как и любая другая технология единого входа.
                Ответить
                • Ну, в случае SRP социальчка тоже будет знать что некий вебсайт пользовался ее услугами чтобы понять что ты знаешь тот же пароль, что есть в социалочке.

                  Хотя было бы хорошо конечно встроить ZKP пртокол прямо в браузеры, но увы.

                  >>Без центрального доверенного сервака не работает же.
                  Да;) но внутри сети работает двоольно не плохо
                  Ответить
                  • Какая нахуй социалочка? В SRP ты взаимодействуешь только с нужным тебе серваком (да, это почти zero-knowledge proof).

                    https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol
                    Ответить
                    • Так ты предлагаешь аутентифицироваться только на одном сервере? Тогда тебе придется везде региться что-ли?
                      Ответить
                    • Нет, давай всё таки разберемся: SRP нужен чтобы Алиса могла доказать Бобу что она знает тот же пароль, что и он, при этом чтобы Ева снифя траффик этот пароль не узнала бы, и при этом у Алисы с Бобом нет общего симметричного ключа чтобы шифровать пароль, и вообще они друг другу не доверяют, верно?

                      И при этом еще если Боб не настоящий то он не сможет узнать пароль Алисы.
                      В этом вся суть недоверия.

                      Я понимаю как это поможет мне без всякого TLS даже аутентифицироваться на сервере, но это же значит что я сначала должен буду там явно зарегиться, да?

                      Рахве это хорошо?
                      Ответить
                      • > что и он
                        Нет. Алиса доказывает Бобу, что она знает тот же самый пароль, что она знала во время первого общения с Бобом. Боб этот пароль не знает.

                        > явно зарегиться
                        Как что-то плохое. Всё лучше, чем регистрация по паспорту через втентакль.
                        Ответить
                        • >> Боб этот пароль не знает.
                          Даже так? Ну тогда еще круче.

                          Это позволит Алисе спать спокойно даже если Боба написали полные мудаки, бо физически у него доступа к паролю нет.

                          Теперь я понимаю почему ZKP, получается как в истории с пещерой, описанной у Шнайера.

                          Остается правда проблема запоминания пароля: я должен буду его везде вводить в окошко браузера. Правда, я могу смело везде использовать один пароль и не бояться что его украдут
                          Ответить
                          • Ну там всё-таки не чистый ZKP -- сервак может побрутить пароль если он простой.

                            В труъ ZKP он бы не узнал о секрете вообще ничего.
                            Ответить
                            • В общем я согласен с тем, что предложенное тобою решение во много раз лучше чем хранение паролевых хешей.

                              К сожалению, оно требует поддержки со стороны клиента.

                              На даже хеши это уже большой шаг, потому что спасут от украдания базы (ну хотя бы замедлят перебор)
                              Ответить
                              • > предложенное тобою
                                К слову, его тут впервые упомянул Сёма. Можешь ему лавры отдать.
                                Ответить
                                • Браво, Сёма. Вот что значит настощий программист
                                  Ответить
                  • > внутри сети
                    Ключевое слово. А вот доверие всех подряд к гуглам да пейсбукам в один прекрасный момент может выстрелить... Единая точка отказа, как бы.
                    Ответить
                    • ну а доверие всех к корневым CA?
                      Ответить
                      • Это обсуждаю два бородача-админа, которые не пользуются всякими "Telegram"-ами, потому что, видите ли, они "несекьюрные", и Пашка может спиздить их данные. И которые пользуются допотопными "HUIRC", а также ссут зарегестрироваться с помощью мобильного телефона. Сами же первыми будуте обсирать то, что предлагаете, если это введут.
                        Ответить
                        • Я не пользуюсь телеграмом по другой причине, и я не админ, но я бородат, хотя мне уже и не двадцать к сожалению
                          Ответить
                      • В случае с CA тебе ещё надо как-то вклиниться между юзером и настоящим серваком. Да и главный ключ CA хранят в оффлайне и юзают раз в год.

                        А вот серваки аутентификации обязаны крутиться в онлайне. И токены, сгенерённые ими, можно тупо юзать самому. Не надо ни участия юзера ни каких-то проблем на сайтах, которые доверяли этим сервакам. Последствия будут гораздо хуже, чем после взлома CA.

                        Понятно, что эти серваки пишут и админят не лохи... Но риск остаётся риском.
                        Ответить
                        • >> Да и главный ключ CA хранят в оффлайне и юзают раз в год.
                          Как же они подписывают выдаваемые сертификаты? Или они делегируют своим миньонам?

                          >>А вот серваки аутентификации обязаны крутиться в онлайне

                          Иными словами мне не нужен верисайн работающий 24x7 чтобы проверить сертификат, а для кербероса был бы нужен.

                          Тут я не спорю.
                          Ответить
                          • З.Ы. Хотя, если юзать ЦА для выдачи ключей клиентам (как госуслуги всякие), то ситуация получается точно такая же. Такое ЦА сможет выступать за юзера на любых сайтах, которые ему доверяют.
                            Ответить
                            • ну она может сама себе выдать серт на его имя и сама же его подписать
                              Ответить
                              • Спасибо, кэп.
                                Ответить
                                • Короче, всё говно
                                  Ответить
                                  • Зацени, luaman
                                    https://www.hammerspoon.org
                                    Ответить
                                    • Забавно) Хую должно понравится

                                      Интересно, какой API они используют? Тот же, что и AppleScript?

                                      Вообще на ябле из коробки куча скриптовых япов (питон с руби так точно) но я не думаю что там есть специальные API.

                                      А так получилось удобно, почти как wsh у ms
                                      Ответить
    • Полез рекурсивно по ссылкам. Вот это понравилось:

      Оказывается, такая схема уязвима к так называемой "атаке увеличением длины сообщения" (Length extension attack).

      Вкратце:
      • Если вы знаете значение md5('foo'), в силу способа вычисления MD5 можно очень легко посчитать значение md5('foobar'), даже не зная префикса 'foo'.
      • Так что если вы знаете значение md5('secretfoo:bar'), можно легко вычислить значение md5('secretfoo:bar&bar:baz'), даже не зная префикса 'secret'.
      • Это значит, что если у вас есть хотя бы одно подписанное сообщение, вы можете подделывать подписи для этого сообщения с любыми дополнительными параметрами в запросе. И проверка аутентификации по приведённой выше схеме будет проходить успешно.

      Разработчики Flickr, Vimeo и Remember the Milk использовали такой подход в своих продуктах.
      Ответить
      • К слову, замена md5 на sha-1 или sha-2 ничего не поменяет.
        Ответить
      • --У меня есть странное увлечение. Вместо HMAC я использую хеш от склейки приватного ключа и пароля, ну как соль с паролем используют для хеширования
        --Больной ублюдок
        Ответить
        • Параметр sig является подписью параметров инициализации приложения. Мы настоятельно рекомендуем вам проверять подпись параметров дабы избежать их подделки злоумышленниками. Расчет подписи происходит по схеме сервер-сервер REST API. Например:

          Формула расчета подписи: sig = md5(params+secret_key)
          Пусть ваш secret_key=f3e22b08e8953cbe6bad349cb65ad f76

          Адрес iframe'а (адрес вашего приложения с параметрами инициализации):
          http://example.com/?is_app_user=1&session_key=f3ecde35e0bcc b4dd21c2b54eab2820b&vid=1324730981306483 817&oid=1324730981306483817&app_id=47641 6&authentication_key=5d1318dc1dddf7a4d3b a9a1b8e10ed77&session_expire=1284481070& ext_perm=&sig=e0f0740a115e55a640f1081c69 42a965&window_id=CometName_94cee89bee914 4716e2ff5816a679eca

          Тогда:
          params = app_id=476416authentication_key=5d1318dc 1dddf7a4d3ba9a1b8e10ed77ext_perm=is_app_ user=1oid=1324730981306483817session_exp ire=1284481070session_key=f3ecde35e0bccb 4dd21c2b54eab2820bvid=132473098130648381 7window_id=CometName_94cee89bee9144716e2 ff5816a679eca
          sig = md5(app_id=476416authentication_key=5d13 18dc1dddf7a4d3ba9a1b8e10ed77ext_perm=is_ app_user=1oid=1324730981306483817session _expire=1284481070session_key=f3ecde35e0 bccb4dd21c2b54eab2820bvid=13247309813064 83817window_id=CometName_94cee89bee91447 16e2ff5816a679ecaf3e22b08e8953cbe6bad349 cb65adf76)
          = e0f0740a115e55a640f1081c6942a965
          Расчитанная подпись совпала с параметром sig.

          Отсюда: https://api.mail.ru/docs/guides/social-apps/
          Ответить
          • P.S. Угадайте с нуля раз, как сделано в «Одноклассниках».

            Спойлер: https://apiok.ru/dev/methods/
            Ответить
            • Еще и md5, ахха.

              Но почему они все такие? Там же, блядь, сидят видущие праграммисты, не?
              Ответить
              • У Алишера Бурхановича достаточно бабок, чтобы насрать на эти проблемы. Ему незачем заморачиваться разработкой криптоустойчивой системы.

                https://xkcd.ru/538/
                Ответить
                • Мне кажется что все еще проще
                  --Давай пошлем ему ссылку: "горячие сучки сделали это"
                  Ссылка: "чтобы посмотреть видео -- придумайте себе пароль"

                  в 98% случаев пароль подойдет ко всем сервисам
                  Ответить
                  • Если даже «ваш компьютер заблокирован за просмотр порнографии» иногда срабатывает...
                    Ответить
                  • Распиши подробнее план.
                    Ответить
                • Он скажет: «Тьфу на тебя! У меня ничего не сломано».

                  Потом добавит: «Тьфу на тебя ещё раз! Это инсинуация».
                  Ответить
              • Ну а чем плох Md5?
                Ответить
          • Но тут md5(params + secret) а не md5(secret + params).
            Ответить
            • И правда. Это сильно меняет дело. А «Фликер» и «Вимео», если верить заметке, такую важную деталь прозевали.
              Ответить
          • HMAC нинужен?
            Ответить
            • С sha-3 -- нинужен.
              Ответить
              • пушо там Меркла -- Дамгарда нету?
                Ответить
                • С Merkle-Damgard тоже можно убрать эту атаку если весь стейт алгоритма не вываливать на выход. SHA-512/256, к примеру.
                  Ответить
              • Это почему? И кому нужен твой ша3?
                Ответить
    • Порадовал ответ сотрудника Яндекса: «Если вам зажать палец дверью или воспользоваться паяльником — то вы пароль скажете и так».

      https://habr.com/post/82317/#comment_2442366
      Ответить
      • Мне там больше понравилось "новый интерфейс, с которого вы тут просите переключиться, таких проблем не имеет".
        Ответить
        • Мне больше понравилось продолжение, в котором оказалось, что и «новый интерфейс» подвержен той же уязвимости: https://habr.com/post/82880/
          Ответить
          • ничево не понял
            дебилы хранят пароль на сервере, и выдают его в браузер по аджаксу и проставляют value у input?

            Пароль "над пропастью во ржи", лол
            Ответить
            • Там же <input type="password">, НА ЭКРАНЕ ПАРОЛЬ ЗАМЕНЯЕТСЯ ЗВЁЗДОЧКАМИ, по этому его невозможно прочитать.
              Ответить
              • Кстати, это работает только с ajax:
                <input type="password" value="Theryecatcher"/> не сработает

                Ну в общем я не буду в очередной раз подымать нытье про то, какой пиздец когда сервер знает твой пароль плейнтекстом
                Ответить
                • В данной задаче ему надо это знать т.к. он будет ходить с ним за почтой на легаси серваки, которые кроме пароля ничего не умеют.
                  Ответить
                  • Это эпидерсия какая-то, но допустим он не виноват потому что другие сервера говно (хотя могли бы научиться аутентифицироваться по ключу хотя бы, чтобы локально хранить приватный а в "доверенные" добавлять публичный)

                    Но клиенту-то зачем пароль отдавать? Чтобы его там спиздил юзерскрипт какой-нить?
                    Ответить
                    • Офтопик.

                      В лихие 90-е Загнивающий Запад захлестнула эпидемия, не коснувшаяся СНГ. Для проверки правильности написания e-mail существовали публичные LDAP-сервера (их поддержка была вшита в MS Mail, Outlook, Outlook Express, Windows Mail — короче, во всё мелкомягкое дерьмо илитное программное обеспечение). По этим серверам программы проверяли, существует ли ящик получателя и соответствует ли указанное ФИО получателя ящику получателя. Авторизации никакой не было, LDAP-сервер тупо отдавал всё, что у него спросишь (паролей в этой базе, к счастью, не было).

                      Прикрыли эти сервера, когда ими воспользовались спамеры. «Воспользовались» — это мягко сказано. В общем, когда засрали все пиндосовские интернеты.
                      Ответить
                      • Можно пожалуйста подробнее про публичные LDAP, и про то, что там было доступно для чтения?

                        Можно ли было без байндинга сделать лукап типа ([email protected]) и узнать фамилию?

                        Как это поддерживалось?
                        Ответить
                        • Возможно, я что-то исказил. Придётся восстанавливать. Копался я в настройках Windows Mail, нашёл вот такую штуковину:
                          https://i.imgur.com/CIA9dv7.png
                          Обратим внимание, что галочка «Требуется вход на сервер» снята.

                          В более старых виндах этих серверов было аж несколько штук.

                          Стал гуглить, что это за «directory.verisign.com» и с чем его едят, и раскопал странную историю.
                          Ответить
                          • Вспомнил! Нужно гуглить про Bigfoot — именно через него спамеры собирали базу е-мейлов. Bigfoot был по умолчанию прописан в XP. В Семёрке и в Висте его уже нет.
                            Ответить
                          • Не клади картинки на этот говносайт с "социальными функциями"
                            Ответить
                            • Почему?
                              Ответить
                              • Потому что мне эти "социальные функции" нахуй не упали. Реклама и то будет лучше,имхо.
                                Ответить
                                • Твой хуй меня не интересует. Буду класть картинки, куда захочу.
                                  Ответить
                                • Твой хуй меня не интересует. Буду класть картинки, куда захочу.
                                  Ответить
                          • аа!! он слушает 389 порт (ldap)
                            ну-ка, ставь себе openldap (если на никсах) или ldp.exe (если на винде) и давай смотреть что там
                            Ответить
                      • А-У-ТЕН-ТИ-ФИ-КА-ЦИИ, СКОТИНА!
                        Ответить
                        • Точно!
                          Ответить
                        • Чувак, расслабься. Я уже понял что аутентификация/авторизация это примерно как "не и ни" или "тся и ться" или как "javascript и java".

                          Никак никто не осилит. Есть еще бесячка про PDC: это термин времен доменов на Windows NT. С W2K (то-есть примерно уже 20 лет) он не имеет смысла (там нет "выделенного главного контрллера") но им все ползуются
                          Ответить
                          • Жаваскрипт и жаву, программиста и сисадмина может путать обычный юзер. А айтишник фекацию и авторизацию путать не должен, как и называть долину Силиконовой.

                            Кстати, у нас в библиотеке книги по C, C++ и C++++ стояли вперемешку.
                            Ответить
                            • Они разве как-то серьёзно отличаются, что они не должны стоять вперемешку?
                              Ответить
                              • И правда. Во всех перечисленных языках операторные скобки выглядят так: {}.

                                Я бы ещё книги по "PHP" вперемешку поставил. "PHP" отличается от "C" только тем, что перед переменными нужно писать символ $.
                                Ответить
                                • P.S. Вот тут есть пример программы, которая одинаково выполняется в "PHP" и в "JS":
                                  http://tantek.pbworks.com/w/page/19402946/NewBase60
                                  Ответить
                              • C и C#?
                                Ответить
                            • что такое C++++++++++++?
                              Ответить
                        • Похуй
                          Ответить
                    • Чтобы нарисовать правильное количество звёздочек.
                      Ответить
                      • Действительно, подсчёт символов на сервере — это излишняя нагрузка. Вдруг кодировка мультибайтовая типа UTF-8, так что за O(1) количество символов не посчитаешь? Лучше пусть браузер считает, он не так нагружен, как сервер.
                        Ответить
                      • Почему не передавать количество звездочек?
                        Ответить
                        • Это ж код писать. Да и на клиенте неудобно обрабатывать -- надо стирать все звёздочки когда юзер что-то начнёт набирать.
                          Ответить
                          • В поле пароля?
                            Ответить
                          • Действительно, про атрибут HTML5 "placeholder" до сих пор не все верстальщики знают.
                            Ответить
              • P.S. Если кто-то скажет, что пароль можно прочитать через Firebug/Draronfly/Devtools/F12, то я отвечу: «ТАК НЕ ПОЛЬЗУЙТЕСЬ FIREBUG/DRAGONFLY/DEVTOOLS/F12, И ПАРОЛЬ БУДЕТ В БЕЗОПАСНОСТИ!!!111»
                Ответить
      • Сбор почты по паролю -- отличный пример победы удобства над безопасностью. Заметим, что они получают не какой-то сраный токен, позволяющий им только забирать письма. Они получают полный доступ к учётке почтового сервиса и заодно ко всем сервисам, которые поддерживают SSO с него.

        Что-то мне намекает, что это излишнее доверие к крупным сервисам когда-нибудь выстрелит и интернет рассыпется как карточный домик...
        Ответить
        • Самая жесть — это когда соцсети просят пароли от почтовых ящиков, чтобы посмотреть записную книжку. Твиттер, кстати, не просит. Он умеет логиниться в Gmail и в Яндекс через OAuth2.
          Ответить
          • >>оцсети просят пароли от почтовых ящиков
            а приватные ключи от ssh не просят?
            Ответить
            • Среднестатистические пользователи соцсетей не знают, что такое "ssh".
              Ответить
              • А что пароль нельзя никому давать знают?

                Кстати, я знаю реальные случаи такой вот социальной инженерии:

                "
                From: [email protected]
                To: [email protected]

                Здравствуйте Василий,
                В последнее время участились случаи неавторизированного доступа к почтовым службам со стороны третьих лиц.

                В целях предотвращения подобных случаев пожалуйста ответьте на следующий вопрос:

                "Девичья фамилия матери"

                С уважением, служба безопасности компании Rambler"

                Люди реально отвечают
                Ответить
                • Ну там же написано: «Facebook не хранит ваш пароль».

                  Кстати, из остальных соцсетей вроде бы такую фигню (в смысле запрос пароля для поиска друзей в в почтовом ящике) уже убрали. Твиттер и ВК сейчас коннектятся только к сервисам, поддерживающим OAuth2.
                  Ответить
          • Я про это писал 100 лет назад. Причем пейсбук - оччень назойливо. Я массрегой на пейсбуке занимался, сейчас посмотрел - на рендомный акк пришло 230 "напоминаний" дать пароль от электронной почты.
            Ответить
        • Кстати, помните, когда-то был такой поисковик «Апорт»? У него ещё был почтовый сервис. Был. А теперь все ящики достались какой-то другой компании. И все учётки, привязанные к апортовской почте...
          Ответить
          • Пользователям pocha.ru повезло больше: хотя домен был перехвачен «Почтой России», все ящики сохранились и к ним можно получить доступ через qip.ru.
            Ответить
          • Пользователям pocha.ru повезло больше: хотя домен был перехвачен «Почтой России», все ящики сохранились и к ним можно получить доступ через qip.ru.
            Ответить
        • Ещё вспомнил историю, как компания "Microsoft" забыла оплатить домен "hotmail.com". Только благодаря тому, что какой-то энтузиаст заплатил за них, ничего не навернулось.
          Ответить
          • Энтузиаст помог MS?)

            >>В 1999 году хакеры выявили брешь в безопасности в Hotmail, которая позволяет кому угодно войти в любой аккаунт, используя пароль «eh»

            ахахах
            Ответить
            • Сходу:
              https://info.nic.ru/st/17/out_2441.shtml
              Ответить
              • Ну вообще говоря обычно с момента отключения домена за неуплату до момента его повторной регистрации проходит какое-то время, во всяком случае так работали домены в зоне .ru (сейчас ими управляет РТ кажется)

                И да: у меня вот домены продлеваются автоматически: почему юрлица не могут так сделать?
                Ответить
                • Российские регистраторы старому владельцу дают месяц на раздумья. Т. е. если совсем плюнуть на домен, то целый месяц он будет висеть заблокированным и только после этого будет выставлен на продажу.

                  Почему у MS, у «Субару» и у «Вашингтон пост» не было продления, я не знаю.

                  Кстати, знаю несколько примеров в Рунете, когда организации не продлевали домен, а покупали новый, а на старый киберсквоттеры вешали дорвей.
                  Ответить
                  • Месяца вполне достаточно. В моем мире единороги срут радуг административные скрипты (а в 2018 уже и сторонние сервисы) отслеживают доступность сайта, и админы узнают о том что сайт лежит минут через 15-20 после того как в их локальный DNSах проэкспайрится кеш A записи, и новая запись уже укажет на какое-то говно
                    Ответить
                    • Угу, во всех фирмах / гос. организациях есть настроенное наблюдение за хуитой.
                      Ответить
        • Вот это ещё неплохо:
          https://habr.com/post/119672/
          Ответить
    • Блядь, у меня дома 30°!
      Ответить
    • После этого, моя програиму на подобные проверки. Если недавно, чтобы натализировать платеж через bitcoin
      Btc address 1dvd7wb72jbtbacftrxsjczzuf4tst8v72
      Чувствительно к решистру, скопируйте и вставьте
      Важнл
      У вас неплохой вкус, хаха, а на другоф, то, что 1400 это сообщение и прямо сейчас виэу, что это необсуждаемое предллжение, так что лучше не тратьте мое и свое время на порносайте, на который вы заходили не знвете меня и наверняка удивлены, почему получить доступ к вашего списка. Это вы его читаете. Если недавно, чтобы натализировать платеж, я разместил специальную программу на подобные проверки. Если не знаете докпзательств, то напишите слово да! В ответном письмо?
      Дело в то время, пока вы смотрели видео. В случайным контактам из всех устанрвленный работал как rdp удаленных мессенджеров, аккаунта facebook и почты.
      Так что это вореционная цена для такого секрета. Сделал видео. В случае, если же я пошлю видео, которыц вы заходили недавно, что лучше не тратьте мое и свое время на подобные проверки. После этого, моя программу на подобные проверки. В то время, пока вы смотрели видео, которое вв смотрели видео, который вы заходили недавнр, чтобы развлечься понммаете, о чем я. В то время, пока вы смотрите у вас неплохой вкус, хаха, а на другой, то, что это вы дооэны сделал видео 5 случайным контактам из всех вашим паролем?
      Вы не знаете доказательств, ьо напишите слово да! В ответном письмо?
      Дело в то время на порносайте, на который вч заходили недавно, что это необсуждаемое предложееие, так что я записал с вебкамеры ага, это сообщение и прямо сейчас вижу, что позволило мне получить доступ к вашего списку ваших родственников, друзей, коллег и т.д. Если недавно, что конкретно я сделал?
      Я сделал?
      Я сделал?
      Ч сделал видео. В случайным контактам из всех установленных мессенджеров, аккаунта facebook и почты.
      Так что я разошлю видео по всему спмску ваших друзей тз вашего списка.
      Ответить

    Добавить комментарий